.
Imagens Getty
A Apple corrigiu uma poderosa cadeia de dias zero do iOS que foi usada para infectar o iPhone de um candidato presidencial egípcio com spyware sofisticado desenvolvido por um vendedor de exploits comerciais, disseram o Google e pesquisadores do Citizen Lab na sexta-feira.
As vulnerabilidades até então desconhecidas, que a Apple corrigiu na quinta-feira, foram exploradas em ataques sem cliques, o que significa que não exigiam que o alvo tomasse nenhuma medida além de visitar um site que usava o protocolo HTTP em vez da alternativa HTTPS mais segura. Um dispositivo de inspeção de pacotes instalado em uma rede celular no Egito ficou atento às conexões do telefone do candidato visado e, quando localizado, redirecionou-o para um site que entregou a cadeia de exploração, de acordo com o Citizen Lab, um grupo de pesquisa do Escola Munk da Universidade de Toronto.
Um elenco de vilões, 30 dias e uma rede celular comprometida
O Citizen Lab disse que o ataque foi possível graças à participação do governo egípcio, ao spyware conhecido como Predator, vendido por uma empresa conhecida como Cytrox, e ao hardware vendido pela Sandvine, com sede no Egito. A campanha teve como alvo Ahmed Eltantawy, um antigo membro do Parlamento egípcio que anunciou que estava a concorrer à presidência em Março. Citizen Lab disse que os ataques recentes foram pelo menos a terceira vez que o iPhone de Eltantawy foi atacado. Um deles, em 2021, fez sucesso e também instalou o Predator.
“O uso de spyware mercenário para atingir um alto membro da oposição democrática de um país depois de este ter anunciado a sua intenção de concorrer à presidência é uma interferência clara em eleições livres e justas e viola os direitos à liberdade de expressão, reunião e privacidade”, Os pesquisadores do Citizen Lab, Bill Marczak, John Scott-Railton, Daniel Roethlisberger, Bahr Abdul Razzak, Siena Anstis e Ron Deibert escreveram em um relatório de 4.200 palavras. “Também contradiz diretamente a forma como as empresas de spyware mercenário justificam publicamente as suas vendas.”
As vulnerabilidades, corrigidas nas versões 16.7 do iOS e iOS 17.0.1, são rastreadas como:
- CVE-2023-41993: Execução remota inicial de código no Safari
- CVE-2023-41991: Desvio PAC
- CVE-2023-41992: Escalonamento de privilégios locais no Kernel XNU
De acordo com uma pesquisa publicada sexta-feira por membros do Grupo de Análise de Ameaças do Google, os invasores que exploraram as vulnerabilidades do iOS também tinham uma exploração separada para instalar o mesmo spyware Predator em dispositivos Android. O Google corrigiu as falhas em 5 de setembro, após receber um relatório de um grupo de pesquisa que se autodenomina DarkNavy.
“O TAG observou essas explorações entregues de duas maneiras diferentes: a injeção MITM e por meio de links únicos enviados diretamente ao alvo”, escreveu Maddie Stone, pesquisadora do Grupo de Análise de Ameaças do Google. “Só conseguimos obter a vulnerabilidade de execução remota de código do renderizador inicial para o Chrome, que estava explorando CVE-2023-4762.”
O ataque foi complexo. Além de aproveitar três vulnerabilidades distintas do iOS, também dependia de hardware fabricado por um fabricante conhecido como Sandvine. Vendido sob a marca PacketLogic, o hardware ficava na rede celular que o iPhone alvo acessava e monitorava o tráfego que passava por ele para seu telefone. Apesar da precisão, o Citizen Lab disse que o ataque é bloqueado quando os usuários ativam um recurso conhecido como Lockdown, que a Apple adicionou ao iOS no ano passado. Mais sobre isso mais tarde.
Há poucas informações sobre a cadeia de exploração do iOS além de ser acionada automaticamente quando um alvo visita um site que hospeda o código malicioso. Uma vez lá, os exploits instalaram o Predator sem necessidade de nenhuma ação adicional do usuário.
Para direcionar sub-repticiamente o iPhone para o site do ataque, bastava visitar qualquer site HTTP. Nos últimos cinco anos, o HTTPS tornou-se o meio dominante de conexão com sites porque a criptografia que ele usa evita que invasores intermediários monitorem ou manipulem os dados enviados entre o site e o visitante. Ainda existem sites HTTP e, às vezes, as conexões HTTPS podem ser rebaixadas para HTTP não criptografadas.
Depois que Eltantawy visitou um site HTTP, o dispositivo PacketLogic injetou dados no tráfego que conectou sub-repticiamente o dispositivo Apple a um site que acionou a cadeia de exploração.
O Predator, a carga útil instalada no ataque, é vendido a uma ampla gama de governos, incluindo os da Arménia, Egipto, Grécia, Indonésia, Madagáscar, Omã, Arábia Saudita e Sérvia. O Citizen Lab disse que o Predator foi usado para atingir Ayman Nour, um membro da oposição política egípcia que vive exilado na Turquia, e um jornalista egípcio exilado que apresenta um programa de notícias popular e deseja permanecer anônimo. No ano passado, pesquisadores da equipe de segurança Talo da Cisco expuseram o funcionamento interno do malware após obterem um binário dele.
.
